Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bagaimana Resource Explorer bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Penjelajah Sumber Daya AWS, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Resource Explorer. Untuk mendapatkan tampilan tingkat tinggi tentang cara Layanan AWS kerja Resource Explorer dan lainnyaIAM, lihat Layanan AWS cara [kerjanya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) di *Panduan IAM Pengguna*.

**Topics**
+ [Kebijakan berbasis identitas Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Otorisasi berdasarkan tag Resource Explorer](#security_iam_service-with-iam-tags)
+ [IAMPeran Resource Explorer](#security_iam_service-with-iam-roles)

Seperti yang lainnya Layanan AWS, Resource Explorer memerlukan izin untuk menggunakan operasinya untuk berinteraksi dengan sumber daya Anda. Untuk mencari, pengguna harus memiliki izin untuk mengambil detail tentang tampilan, dan juga untuk mencari menggunakan tampilan. Untuk membuat indeks atau tampilan, atau untuk memodifikasinya atau pengaturan Resource Explorer lainnya, Anda harus memiliki izin tambahan. 

Tetapkan kebijakan IAM berbasis identitas yang memberikan izin tersebut kepada prinsipal yang sesuai. IAM Resource Explorer menyediakan [beberapa kebijakan terkelola](security_iam_awsmanpol.md) yang menentukan set izin umum. Anda dapat menetapkan ini ke IAM kepala sekolah Anda.

## Kebijakan berbasis identitas Resource Explorer
<a name="security_iam_service-with-iam-id-based-policies"></a>

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan yang diizinkan atau ditolak terhadap sumber daya tertentu dan kondisi di mana tindakan tersebut diizinkan atau ditolak. Resource Explorer mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat [referensi elemen IAM JSON kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) di *Panduan IAM Pengguna*.

### Tindakan
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

`Action`Elemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti *tindakan khusus izin yang* tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut *tindakan dependen*.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Resource Explorer menggunakan awalan `resource-explorer-2` layanan sebelum tindakan. Misalnya, untuk memberikan izin kepada seseorang untuk mencari menggunakan tampilan, dengan `Search` API operasi Resource Explorer, Anda menyertakan `resource-explorer-2:Search` tindakan tersebut dalam kebijakan yang ditetapkan untuk prinsipal tersebut. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Resource Explorer mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini. Ini sejajar dengan API operasi Resource Explorer.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti yang ditunjukkan dalam contoh berikut.

```
"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]
```

Anda dapat menentukan beberapa tindakan menggunakan karakter wildcard (`*`). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut.

```
"Action": "resource-explorer-2:Describe*"
```

Untuk daftar tindakan Resource Explorer, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) dalam *Referensi Otorisasi AWS Layanan*.

### Sumber daya
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Resource` JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen `Resource` atau `NotResource`. Sebagai praktik terbaik, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai *izin tingkat sumber daya*.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

#### Tayang
<a name="resource-type-view"></a>

Jenis sumber daya Resource Explorer utama adalah *tampilan*. 

Sumber daya tampilan Resource Explorer memiliki ARN format berikut.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```

ARNFormat Resource Explorer ditampilkan dalam contoh berikut.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

**catatan**  
ARNUntuk tampilan menyertakan pengenal unik di bagian akhir untuk memastikan bahwa setiap tampilan unik. Ini membantu memastikan bahwa IAM kebijakan yang memberikan akses ke tampilan lama yang dihapus tidak dapat digunakan untuk secara tidak sengaja memberikan akses ke tampilan baru yang kebetulan memiliki nama yang sama dengan tampilan lama. Setiap tampilan baru menerima ID baru yang unik di bagian akhir untuk memastikan bahwa tidak pernah ARNs digunakan kembali.

Untuk informasi selengkapnya tentang formatARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Anda menggunakan kebijakan IAM berbasis identitas yang ditetapkan ke IAM prinsipal dan menentukan tampilan sebagai. `Resource` Melakukan hal ini memungkinkan Anda memberikan akses penelusuran melalui satu tampilan ke satu set prinsipal, dan mengakses melalui tampilan yang sama sekali berbeda ke kumpulan prinsip yang berbeda. 

Misalnya, untuk memberikan izin ke satu tampilan bernama `ProductionResourcesView` dalam pernyataan IAM kebijakan, pertama-tama dapatkan [nama sumber daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari tampilan tersebut. Anda dapat menggunakan halaman **[Tampilan](https://console.aws.amazon.com/resource-explorer/home#/views)** di konsol untuk melihat detail tampilan, atau menjalankan `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)` operasi untuk mengambil tampilan penuh ARN yang Anda inginkan. Kemudian, sertakan dalam pernyataan kebijakan, seperti yang ditunjukkan dalam contoh berikut yang memberikan izin untuk mengubah definisi hanya satu tampilan.

```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"
```

Untuk mengizinkan tindakan pada ***semua*** tampilan yang dimiliki oleh akun tertentu, gunakan karakter wildcard (`*`) di bagian yang relevan dari akun. ARN Contoh berikut memberikan izin pencarian ke semua tampilan di akun Wilayah AWS dan yang ditentukan.

```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```

Beberapa tindakan Resource Explorer`CreateView`, seperti, tidak dilakukan terhadap sumber daya tertentu, karena, seperti pada contoh berikut, sumber daya belum ada. Dalam kasus seperti itu, Anda harus menggunakan karakter wildcard (`*`) untuk seluruh sumber dayaARN.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```

 Jika Anda menentukan jalur yang berakhir dengan karakter wildcard, maka Anda dapat membatasi `CreateView` operasi untuk membuat tampilan hanya dengan jalur yang disetujui. Bagian kebijakan contoh berikut menunjukkan cara mengizinkan prinsipal untuk membuat tampilan hanya di jalur`view/ProductionViews/`.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```

#### Indeks
<a name="resource-type-index"></a>

Jenis sumber daya lain yang dapat Anda gunakan untuk mengontrol akses ke fungsionalitas Resource Explorer adalah indeks.

Cara utama Anda berinteraksi dengan indeks adalah mengaktifkan Resource Explorer Wilayah AWS dengan membuat indeks di Wilayah tersebut. Setelah itu, Anda melakukan hampir semua hal lain dengan berinteraksi dengan tampilan.

Satu hal yang dapat Anda lakukan dengan indeks adalah mengontrol siapa yang dapat ***membuat*** tampilan di setiap Wilayah.

**catatan**  
Setelah Anda membuat tampilan, IAM mengotorisasi semua tindakan tampilan lainnya hanya terhadap tampilan, dan bukan indeks. ARN

Indeks memiliki [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)yang dapat Anda referensikan dalam kebijakan izin. Indeks Resource Explorer ARN memiliki format berikut.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```

Lihat contoh indeks Resource Explorer berikutARN.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```

Beberapa tindakan Resource Explorer memeriksa otentikasi terhadap beberapa jenis sumber daya. Misalnya, [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operasi mengotorisasi terhadap indeks dan tampilan seperti ARN yang akan terjadi setelah Resource Explorer membuatnya. ARN Untuk memberikan izin kepada administrator untuk mengelola layanan Resource Explorer, Anda dapat menggunakan `"Resource": "*"` untuk mengotorisasi tindakan untuk sumber daya, indeks, atau tampilan apa pun. 

Atau, Anda dapat membatasi prinsipal untuk hanya dapat bekerja dengan sumber daya Resource Explorer tertentu. Misalnya, untuk membatasi tindakan hanya pada resource Resource Explorer di Wilayah tertentu, Anda dapat menyertakan ARN templat yang cocok dengan indeks dan tampilan, tetapi hanya memanggil satu Wilayah. Dalam contoh berikut, ARN cocok dengan indeks atau tampilan hanya di `us-west-2` Wilayah akun yang ditentukan. Tentukan Wilayah di bidang ketigaARN, tetapi gunakan karakter wildcard (\$1) di bidang terakhir untuk mencocokkan jenis sumber daya apa pun.

```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```

Untuk informasi selengkapnya, lihat [Sumber Daya yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) dalam *Referensi Otorisasi AWS Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Kunci syarat
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Resource Explorer tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan IAM Pengguna*.

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Condition` (atau *blok* `Condition`) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. 

Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

 Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat [elemen IAM kebijakan: variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan IAM Pengguna*. 

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan IAM Pengguna*.

Untuk melihat daftar kunci kondisi yang dapat Anda gunakan dengan Resource Explorer, lihat [Condition Keys untuk Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) dalam *Referensi Otorisasi AWS Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Contoh
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Untuk melihat contoh kebijakan berbasis identitas Resource Explorer, lihat. [Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS](security_iam_id-based-policy-examples.md)

## Otorisasi berdasarkan tag Resource Explorer
<a name="security_iam_service-with-iam-tags"></a>

Anda dapat melampirkan tag ke tampilan Resource Explorer atau meneruskan tag dalam permintaan ke Resource Explorer. Untuk mengendalikan akses berdasarkan tag, berikan informasi tentang tag di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai resource Resource Explorer, lihat[Menambahkan tag ke tampilan yang sudah ditonton](manage-views-tag.md). Untuk menggunakan otorisasi berbasis tag di Resource Explorer, lihat. [Menggunakan otorisasi berbasis tanda untuk mengontrol akses ke tampilan Anda](manage-views-grant-access.md#manage-views-grant-access-abac)

## IAMPeran Resource Explorer
<a name="security_iam_service-with-iam-roles"></a>

[IAMPeran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah prinsip dalam diri Anda Akun AWS yang memiliki izin khusus.

### Menggunakan kredensi sementara dengan Resource Explorer
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) API operasi seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

Resource Explorer mendukung penggunaan kredenal sementara. 

### Peran terkait layanan
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.

Resource Explorer menggunakan peran terkait layanan untuk melakukan pekerjaannya. Untuk detail tentang peran terkait layanan Resource Explorer, lihat. [Menggunakan peran terkait layanan untuk Resource Explorer](security_iam_service-linked-roles.md)